jojo0411
Goto Top

Cryptolocker Verhinderungsstrategie

Hallo Leute,

Wir haben wieder mal einen Cryptolocker eingefangen und das Problem mit einem Restore aller betroffenen Laufwerke lösen können. Interessanterweise war das jetzt eine Version die auch Shares attackiert hat die der User nicht gemappt hatte. Wir haben in den letzten Monaten einiges aufgerüstet:

- Niemand arbeitet mehr mit lokalen Admin Rechten
- Virenschutz ist auf dem letzten Stand und hat einen Ransomware Schutz
- Zugang über einen Proxy gelöst der zusätzlich den Internettraffic nach Viren überprüft

Kommende Schutz Maßnahmen:

- Patchmanagement
- Applocker

Jetzt meine Frage dazu:

Gibt es keine Software die die Verschlüsselung von Dateien verhindern oder zumindest erkennen kann?

nice greetz jojo

Content-ID: 302983

Url: https://administrator.de/contentid/302983

Ausgedruckt am: 21.11.2024 um 14:11 Uhr

Chonta
Chonta 27.04.2016 um 08:50:14 Uhr
Goto Top
Hallo,


- Niemand arbeitet mehr mit lokalen Admin Rechten
Ok, aber das ist den Cryptoteilen auch EGAL die brauchen nur Schreibzugriff und erschleichen sich wennmöglich Adminrechte.

- Virenschutz ist auf dem letzten Stand und hat einen Ransomware Schutz
Was die Enginge nicht kennt hält sie nicht auf.

- Zugang über einen Proxy gelöst der zusätzlich den Internettraffic nach Viren überprüft
Ok Und wie ist der Trojaner bei Euch ins Netzwerkgekommen? Über einen Link in einer Mail oder Dateianhang?
Proxy schützt nur vor Links und Stopt auch nur was er kennt.

Kommende Schutz Maßnahmen:
- Patchmanagement
Für jede Software oder was genau? Wrude vorher ide Software nie aktualisiert?

- Applocker
Ab hier wird es interesannt.
Der kann helfen, kann aber im Moment durch eine Lücke umgangen werden.

Die Sensibilisierung der Mitarbeiter ist mit das wichtigste und ggf harte Sanktionen bis es klick macht.

Gruß

Chonta
DerWoWusste
DerWoWusste 27.04.2016 um 09:11:15 Uhr
Goto Top
- Applocker
Ab hier wird es interesannt.
Der kann helfen, kann aber im Moment durch eine Lücke umgangen werden.
Argh. Eben nicht. Artikel bitte vollständig lesen. Wer die Defaultrichtlinien unangepasst nutzt, der ist selbst Schuld. Microsoft rät davon ab.
Chonta
Chonta 27.04.2016 um 09:19:02 Uhr
Goto Top
Danke für die Korrektur!
kontext
kontext 27.04.2016 um 09:21:16 Uhr
Goto Top
Zitat von @DerWoWusste:
Argh. Eben nicht. Artikel bitte vollständig lesen. Wer die Defaultrichtlinien unangepasst nutzt, der ist selbst Schuld. Microsoft rät davon ab.

Hallo @DerWoWusste,

ich glaube, du wirst die nächsten Tage noch viel Arbeit haben. face-big-smile
Würde mir an deienr Stelle ein schönes Standard-Sätzchen überlegen und Griffbereit halten. face-big-smile

Aber war da auch nicht was mit Malwarebytes AntiRansomware und Konsorten *duck und weg*
Gruß
@kontext
keine-ahnung
keine-ahnung 27.04.2016 um 09:21:49 Uhr
Goto Top
Moin,

seit zwei Wochen fliegen bei mir zusätzlich alle email-Anhänge ausser *.pdf und vier bitmap-Formaten in Quarantäne. Information dazu auf der Homepage, in einem newsletter und in der Praxis.

LG, Thomas
Lochkartenstanzer
Lochkartenstanzer 27.04.2016 um 09:23:40 Uhr
Goto Top
Villeich noch einen Link zu Deinem Beitrag "Application Whitelisting - Umgang mit Systemdateien" hinzufügen. wo Du das alles beschreibst. face-smile

lks
127944
127944 27.04.2016 um 09:27:58 Uhr
Goto Top
Zitat von @keine-ahnung:
seit zwei Wochen fliegen bei mir zusätzlich alle email-Anhänge ausser *.pdf und vier bitmap-Formaten in Quarantäne.

Da denke ich seit geraumer Zeit auch drüber nach. Kann mich nur nicht entscheiden ob das eine gute Idee ist oder nicht.
jojo0411
jojo0411 27.04.2016 um 09:41:31 Uhr
Goto Top
Hallo Leute,

Danke für eure Beiträge... zu meiner eigentlichen Frage wisst ihr nichts? Wieso erfindet sowas keiner... derjenige der das erfindet wird Reicher als die Crypto Erpresser. face-smile

Gibt es eine Möglichkeit andere Dateiformate als definiert zu verhindern am Windows Fileserver?

Das mit den Mailanhängen habe ich teilweise schon probiert.. zum Beispiel alle Markos in Word Dateien gelöscht. Das hat mir dann aber jede Woche eine Diskussion mit einigen Usern eingefangen die auf diese Makros bestehen. Also auch noch Word Dokumente etc. zu sperren halte ich für unmöglich.

Bei dem aktuellen Teil weiß ich gar nicht genau wie sie gekommen sind. Die einzigen Mails die durchgingen am Wochenende waren von irgendeinem Maxdome Angebot ... Die User die in Frage kommen wissen wie immer von nichts.

nice greetz jojo
Lochkartenstanzer
Lochkartenstanzer 27.04.2016 aktualisiert um 09:56:17 Uhr
Goto Top
Zitat von @jojo0411:

Das mit den Mailanhängen habe ich teilweise schon probiert.. zum Beispiel alle Markos in Word Dateien gelöscht. Das hat mir dann aber jede Woche eine Diskussion mit einigen Usern eingefangen die auf diese Makros bestehen. Also auch noch Word Dokumente etc. zu sperren halte ich für unmöglich.

Ich halte es durchaus für möglich. Einfach sperren und den Usern einen Wisch vor dem Freischalten unterschreiben lassen, daß sie persönllich für den Schaden aufkommen müssen, wenn sie auf durchgelassene Word-Dokumente bestehen. face-smile

lks

Nachtrag Es reicht manchmal einfach der GL vorzurechnen, was die das kostet, wenn die Maßnahme nicht durchgeführt wird. face-smile
DerWoWusste
DerWoWusste 27.04.2016 um 10:16:30 Uhr
Goto Top
Natürlich gibt es solche Software, aber deren Zuverlässigkeit zu beurteilen ist nicht leicht. Applockers Zuverlässigkeit hingegen kann leicht beurteilt werden. Nutze Applocker.
jojo0411
jojo0411 27.04.2016 um 11:44:55 Uhr
Goto Top
Hallo Leute,

Im Bezug auf App Locker habe ich das Problem das wir aktuell größtenteils Windows Pro verwenden und es dort nicht funktioniert. Ich habe mir Lösungen von Trend Micro (Application Control) angesehen und bin der Meinung das uns das helfen könnte.

Welche Software gibt es denn die eine Verschlüsselung erkennt?

nice greetz jojo
ConnecT
ConnecT 27.04.2016 um 12:15:26 Uhr
Goto Top
Die Verhaltensüberwachung von Trend Micro erkennt Dateiverschlüsselung (unauthorized file encryption).
Gruß Christian
DerWoWusste
DerWoWusste 27.04.2016 aktualisiert um 16:30:02 Uhr
Goto Top
Aber Software restriction Policies sind in auch in der Pro-Edition möglich - fast das Selbe, etwas aufwendiger zu administrieren.
Erkennung von Verschlüsselung: (Achtung, Betastatus!) http://www.heise.de/download/malwarebytes-anti-ransomware-1197390.html
BernhardMeierrose
BernhardMeierrose 27.04.2016 um 13:34:33 Uhr
Goto Top
Moin,

ich kenne genug Unternehmen, die mittlerweile Mailanhänge rigoros blocken, also nicht mal mehr in Quarantäne nehmen. Besonders sensible Unternehmen sperren da auch PDFs.
Wenn Office-Dokumente ausgetauscht werden sollen (mit oder ohne Makros) dann soll das bitte auf geregeltem Weg passieren;gibt da ja nun wirklich genug Wege. Das mag für den Anwender zwar umständlicher erscheinen, aber dann denkt er vielleicht mal 3 Sekunden darüber nach, was das für ein Dokument sein soll, aus welcher Quelle das ist und ob es unter Umständen eine Bedrohung darstellt.

Gruß
Bernhard
127944
127944 27.04.2016 um 13:39:06 Uhr
Goto Top
Genau so würde ich das auch gerne machen. Nur leider sind es ja meist die Chefs, die zuerst jammern, weil ihnen ein Freund keine Urlaubsfotos mehr in die Firma schicken kann.
keine-ahnung
keine-ahnung 27.04.2016 um 14:30:35 Uhr
Goto Top
Moin,
Nur leider sind es ja meist die Chefs, die zuerst jammern, weil ihnen ein Freund keine Urlaubsfotos mehr in die Firma schicken kann.
einfach selber Chef werden face-wink.
Andererseits sehe ich in bitmaps jetzt nicht so dolle den Dämon, wenn der Filter sowohl die name extension als auch Dateitypen prüft. An *pdf komme ich nicht vorbei - da kann ich dann auch gleich einen Brieftaubenschlag installieren. Und no risc, no fun face-smile

LG, Thomas
127944
127944 27.04.2016 um 14:35:12 Uhr
Goto Top
Zitat von @keine-ahnung:
einfach selber Chef werden face-wink.
War ich schon. Ich war allerdings auch so ein Chef face-wink

Andererseits sehe ich in bitmaps jetzt nicht so dolle den Dämon, wenn der Filter sowohl die name extension als auch Dateitypen prüft. An *pdf komme ich nicht vorbei - da kann ich dann auch gleich einen Brieftaubenschlag installieren. Und no risc, no fun face-smile
Soweit teile ich deine Meinung.

OT: Ich würde die Anhänge aus Mails nur zu gerne ganz los werden. Wenn ich schätzen müsste, würde ich sagen, das sich 80% der Informationen dieser Firma nicht auf einem Fileserver befinden, sondern in aufgeblasenen Mailpostfächern. Keine Ahnung wie die Leute damit arbeiten können.
Nemo-G
Nemo-G 27.04.2016 aktualisiert um 16:54:28 Uhr
Goto Top
Hi,

Außer, dass die Mitarbeiter für die Problematik sensibilisert werden, sollte auf jeden Fall sollte sichergestellt werden, dass auf den Windows-Rechnern bekannte Dateitypen NICHT ausgeblendet werden. Das Ausblenden ist dummerweise die von MS vorgegebene Standardeinstellung.

Da verlangt doch in einem Thread bei CB ein nach eigener Aussage Nicht-Profi nach einer Lösung, wie er eine von seinen Admins vorgegebene GPO aushebeln kann. Und das bloß, weil er es nicht ertragen kann, die Dateinamenerweiterungen sehen zu müssen. Seine Reaktion auf die Warnungen anderer Foristen (außer meiner) war auch bezeichnend.

Gruß, Nemo-G
beidermachtvongreyscull
beidermachtvongreyscull 27.04.2016 aktualisiert um 16:26:09 Uhr
Goto Top
"Jein" nach meiner Erfahrung.

Virenschutz und Konsorten hängen immer hinterher.

Was Du tun kannst:

  • Briefe die Mitarbeiter. Das wäre die Langzeitprophylaxe.
  • Filtere auf dem Emailweg heraus: Scripts, ausführbare Dateien, Office-Dateien mit Macros (schau Dir mal das E.F.A. project an). Stelle sicher, dass auch in Archiven nach diesen Dateitypen gesucht wird.
  • Wenn Du keine *.js oder *.vbs-Scripts im Einsatz hast, deaktiviere doch per Gruppenrichtlinie den Windows-Scripting-Host. Dann werden diese Dateien nicht mehr ausgeführt werden und verhalten sich wie Textdateien. http://www.windowspage.de/tipps/021421.html
Lochkartenstanzer
Lochkartenstanzer 27.04.2016 um 17:53:05 Uhr
Goto Top
Zitat von @keine-ahnung:

An *pdf komme ich nicht vorbei - da kann ich dann auch gleich einen Brieftaubenschlag installieren. Und no risc, no fun face-smile

Aufpassen: Wenn die Brieftauben sich an RFC1149 halten, hast Du Dir damit nur eine Hintertür für das Ransom-Gewürm eingehandelt. Das zeigt wieder mal, daß Du Deinem Nick alle Ehre machst. face-smile

lks
keine-ahnung
keine-ahnung 27.04.2016 um 18:00:57 Uhr
Goto Top
Mensch, LKS
Das zeigt wieder mal, daß Du Deinem Nick alle Ehre machst.
heute liegst Du aber sowas von daneben ...
BLUG in cooperation with Vesta Brevdueforening has given you rfc 1149 support for Linux.
Ich habe gar kein Linux ... face-wink.

LG, Thomas
Lochkartenstanzer
Lochkartenstanzer 27.04.2016 um 18:12:49 Uhr
Goto Top
Zitat von @keine-ahnung:

BLUG in cooperation with Vesta Brevdueforening has given you rfc 1149 support for Linux.
Ich habe gar kein Linux ... face-wink.

IIRC hat einer das für Windows auch schon implementiert, finde aber gerade keinen Link. Jedenfalls solltest Du Dir das gut überlegen, wenn Du die Brieftauben nicht zum Essen sondern zum Datenaustausch verwenden willst.

lks
keine-ahnung
keine-ahnung 27.04.2016 um 18:39:24 Uhr
Goto Top
IIRC hat einer das für Windows auch schon implementiert, finde aber gerade keinen Link.
Ich schreibe gerade am Quellcode ....
wenn Du die Brieftauben nicht zum Essen sondern zum Datenaustausch verwenden willst.
Es gibt auch Tauben mit Doppelfunktion! Aus ökonomischer Sicht empfiehlt sich aber eine genaue Beachtung der im CPIP empfohlenen Verwendungsreihenfolge ... die Transportleistung verhält sich nämlich umgekehrt kongruent zum Garungsgrad.

LG, Thomas
DerWoWusste
DerWoWusste 27.04.2016 um 19:04:28 Uhr
Goto Top
He, Ihr Taubenzüchter, ist die PN-Funktion defekt? Dann schickt doch Tauben hin und her, auch die brauchen Bewegung.
Lochkartenstanzer
Lochkartenstanzer 27.04.2016 um 19:24:26 Uhr
Goto Top
Zitat von @DerWoWusste:

He, Ihr Taubenzüchter, ist die PN-Funktion defekt? Dann schickt doch Tauben hin und her, auch die brauchen Bewegung.

Ich habe keine mehr. die sind alle aufgegessen. face-smile

lks

PS: Der Hinweis auf den RFC war indirekt der Tipp, sich nicht in Sicherheit zu wiegen, wenn man den "Übertragungsweg" ändert, z.B. Sticks statt Email benutzt also schon gewisserweise noch on-topic.
keine-ahnung
keine-ahnung 27.04.2016 um 20:02:59 Uhr
Goto Top
Moin
He, Ihr Taubenzüchter, ist die PN-Funktion defekt?
um die Zeit mit dem falschen Bein aufzustehen muss man auch erstmal schaffen face-smile! Und wo bleibt der Respekt vor unserem Greisenalter??
sich nicht in Sicherheit zu wiegen, wenn man den "Übertragungsweg" ändert, z.B. Sticks statt Email
Ist bei mir ja eher inpraktikabel ... und auch (fast) unmöglich. Eigentlich müsste ich Locky & Co. auch eher dankbar sein, da ich mir dadurch seit Jahren mal wieder ernsthafte Gedanken um meine Sicherheitsstrukturen gemacht habe.
Im Vorfeld hatte ich mir überlegt, eine endpoint-security-appliance-Lösung und einen vernünftigen Spam-Filter zu kaufen.
Dann habe ich mich aber doch erstmal durchgerungen, mein worryfree advanced von release 7.0 auf 9.2 hochzuzerren ... alter Schwede! Für so kleine Krauter wie mich haben die da ordentlich dran rumgeschraubt: wuchtiger content-filter, email-security vom Feinsten, encryption-protection, software restriction policies sind möglich, eine basale endpoint security (für flash-Speicher) ist dabei und, und, und - Respekt. Und das für brutto 22 Euronen pro Arbeitsplatz und anno. Ist übersichtlich zu konfigurieren, hat mich alles in allem 2 oder 3 Stunden gekostet. Hier muss ich dann doch mal ein Produkt empfehlen - ob das alles so funktioniert? Keine-ahnung! Sieht aber zumindest erstmal prima aus und man kann wieder besser schlafen.

Und ausserdem habe ich jetzt wieder mehr zeitliche Freiräume für die Idee mit den Täubchen ... face-smile

LG, Thomas
TuXHunt3R
TuXHunt3R 28.04.2016 um 21:11:00 Uhr
Goto Top
Tag

Folgendes habe ich aufgerüstet:
1. https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locke ...

2. Zusätzlich zu den üblichen verbotenen Dateiendungen wie EXE, BAT, etc werden bei mir nun alle Pack-Formate (ZIP, RAR, etc.) sowie alle Office-Dokumente, die Makros enthalten könnten (doc, xls, ppt, docm, xlsm, pptm, etc) vom Spamfilter blockiert, und zwar unabhängig davon, ob der Absender auf der Whitelist ist oder nicht. Erlaubt sind bei den Office-Dokumenten nur noch docx, xlsx, pptx etc.

3. Den Trendmicro auf die neuste Version gepatcht und auf jeder Kiste läuft nun am Mittag noch ein Vollscan zusätzlich zum Echtzeitscanner

4. Nochmals durchgegangen, wer alles lokale Adminrechte besitzt und alle bis auf die IT Mitarbeiter entfernt.

5. Die Schreibrechte auf den Netzlaufwerken detaillierter segmentiert und drastisch zurückgefahren.

6. Patch-Management hochgeschraubt. Statt einem Sammel-Patchday pro Quartal werden die heiklen Applikationen wie Adobe Reader, Flash Player, Java, etc. jetzt einen Tag nach Veröffentlichung ausgerollt. Bei den Benutzern werden bei solchen Patches über den Mittag die Browser und der Adobe Reader nach Vorankündigung automatisch abgeschossen, damit die Patches sauber reingehen. WSUS auf Automatik gestellt. Vorher habe ich die Installation mittels Softwareverteilung zeitgesteuert angestossen, jetzt macht mein WSUS das direkt.
TuXHunt3R
TuXHunt3R 28.04.2016 um 22:32:01 Uhr
Goto Top
7. Die Makros deaktiviert bei allen Office-Programmen (via GPO)
keine-ahnung
keine-ahnung 28.04.2016 um 23:58:10 Uhr
Goto Top
Moin,
Die Makros deaktiviert bei allen Office-Programmen (via GPO)
dann könnte ich keine Arztbriefe mehr schreiben, die sich Infos aus der Praxisverwaltung ziehen face-sad. Geht also nicht ...
die heiklen Applikationen wie ... Flash Player
Wer in drei Teufels Namen braucht das Teil auf Arbeit?
Die Schreibrechte auf den Netzlaufwerken detaillierter segmentiert und drastisch zurückgefahren
Da würde meine Praxisverwaltung die weisse Fahne schwenken ...

Aber alles in allem scheint dank Locky das Thema Sicherheit wieder ein Stück weit vordergründiger zu werden face-smile - ich bin dabei!

LG, Thomas
jmcclane
jmcclane 01.05.2016 um 19:06:22 Uhr
Goto Top
Nabend zusammen.

Die haben da eine pfiffige Lösung.
http://go.appsense.com/Locky.html

Gruß, JMcClane
TuXHunt3R
TuXHunt3R 01.05.2016 um 22:18:07 Uhr
Goto Top
die heiklen Applikationen wie ... Flash Player
Wer in drei Teufels Namen braucht das Teil auf Arbeit?

Ich. VMWare Web Client (leider)....

Wie die armen Schweine, die eine ältere Version von Sharepoint nutzen und Silverlight auf Ihrem Rechner haben müssen......
JawCruncher
JawCruncher 03.05.2016 um 07:18:39 Uhr
Goto Top
- Filterung aller ausführbaren Anhänge
- keine lokalen Adminrechte
- aktuell gehaltener Virenscanner
- Ausführungsverhinderung von nicht signierten Makros (und es nicht dem Nutzer freizustellen das auszuschalten)
- unterschiedliche Passwörter für lokale Admins auf Servern
- Awareness-Maßnahmen bei den Mitarbeitern (auch den Admins!)

Das ist alles gut und richtig für die Prävention, nichts davon bietet 100% Schutz.
Whitelisting von Anwendungen übrigens auch nicht, macht aber viel Mühe (ok, bringt auch viel!).

Das gehört alles zur Kategorie Schadensverhinderung. Die wichtigste Maßnahme zur Schadensminimierung im Schadfall hat aber noch keiner genannt:
Ein stets aktuelles B A C K U P - natürlich offline. Schattenkopien werden von den Cryptolockern in der Zwischenzeit auch angegriffen, mein Backupserver ist ggf. ebenfalls betroffen. Die Bandsicherungen im Tresor geben mir da mehr als nur ein gutes Gefühl. Auch hier ist die Awareness aber entscheidend. Dem Anwender muss klar sein, dass lokal nichts gesichert wird.

Ebenfalls nicht schlecht ist eine Alarmfunktion. Ich habe neulich von dem Ansatz gehört, den Fileserver Resource Manager bei bestimmten Dateiendungen Alarm schlagen zu lassen. Hilft natürlich nur, wenn man die Liste der Endungen auch der aktuellen Bedrohungslage anpasst und nur gegen die Schädlinge, die die Verschlüsselung zunächst in eine Kopie legen.

Also, meine Nummer 1 bleibt Backup!

Jens
Fortschritt
Fortschritt 16.03.2017 um 18:53:43 Uhr
Goto Top
Hallo, danke für dieses Thema. Da Cryptolocker sehr böse Trojaner. Hier ist meine Strategie: dieser Virenscanner linkmailer.de/viren/crypt0l0cker + meine Arbeitskopf))
keine-ahnung
keine-ahnung 16.03.2017 um 21:15:54 Uhr
Goto Top
Moin,
+ meine Arbeitskopf
was habe google-translator da wieder translatiert? Mache Werbung intelligenter ...